💡 Chiến dịch lừa đảo "CallPhantom" một lần nữa gióng lên hồi chuông cảnh báo về sự tinh vi của các ứng dụng độc hại trên các cửa hàng ứng dụng chính thống. Đội ngũ RetroLab nhấn mạnh tầm quan trọng của việc người dùng cần nâng cao cảnh giác, kiểm tra kỹ thông tin nhà phát triển và đọc kỹ đánh giá trước khi tải và sử dụng bất kỳ ứng dụng nào, đặc biệt là những ứng dụng hứa hẹn cung cấp các tính năng nhạy cảm.
Các nhà nghiên cứu bảo mật vừa phanh phui một chiến dịch lừa đảo quy mô lớn trên Google Play Store, liên quan đến 28 ứng dụng Android giả mạo. Những ứng dụng này, dưới chiêu bài cung cấp lịch sử cuộc gọi của bất kỳ số điện thoại nào, đã lừa người dùng đăng ký các gói thuê bao với tổng cộng hơn 7,3 triệu lượt tải về.
Công ty bảo mật ESET, đơn vị phát hiện và đặt tên cho chiến dịch này là "CallPhantom", cho biết các ứng dụng độc hại chủ yếu nhắm vào người dùng Android tại Ấn Độ và khu vực Châu Á - Thái Bình Dương. Theo Lukáš Štefanko, nhà nghiên cứu bảo mật tại ESET, các ứng dụng này tuyên bố có thể truy cập lịch sử cuộc gọi, tin nhắn SMS và cả nhật ký cuộc gọi WhatsApp của bất kỳ số điện thoại nào. Tuy nhiên, để mở khóa tính năng này, người dùng bị yêu cầu thanh toán, nhưng đổi lại chỉ nhận được dữ liệu ngẫu nhiên, hoàn toàn sai lệch.
Một trong những chiêu trò tinh vi của các ứng dụng này là giả mạo tên nhà phát triển "Indian gov.in" để tạo dựng lòng tin, khiến người dùng mất cảnh giác. Sau khi người dùng thanh toán, họ sẽ nhận được những thông tin cuộc gọi và SMS hoàn toàn bịa đặt, được nhúng sẵn trong mã nguồn của ứng dụng. Bằng chứng cho thấy hoạt động lừa đảo này đã diễn ra ít nhất từ tháng 11 năm 2025.
Ảnh minh họa: Khoảng 7,3 triệu lượt tải về từ 28 ứng dụng lừa đảo trên Google Play
Một số ứng dụng còn yêu cầu người dùng nhập địa chỉ email để nhận thông tin chi tiết về số điện thoại mong muốn. Tuy nhiên, tương tự như trường hợp trên, dữ liệu chỉ được cung cấp sau khi thanh toán được thực hiện. Phương thức thanh toán rất đa dạng, bao gồm đăng ký qua hệ thống thanh toán chính thức của Google Play, các ứng dụng thanh toán bên thứ ba như Google Pay, PhonePe, Paytm (hỗ trợ Unified Payments Interface - UPI tại Ấn Độ), hoặc điền trực tiếp thông tin thẻ thanh toán vào ứng dụng. Hai phương thức cuối cùng vi phạm chính sách của Google.
Để tăng tính thuyết phục, một số ứng dụng còn sử dụng một thủ thuật khác. Nếu người dùng thoát ứng dụng mà chưa thanh toán, một thông báo giả mạo sẽ hiện lên, tuyên bố rằng lịch sử cuộc gọi đã được gửi thành công đến email của họ. Việc nhấp vào thông báo này sẽ đưa người dùng trở lại màn hình đăng ký thuê bao.
Các gói đăng ký có mức giá khác nhau, dao động từ khoảng 6 USD đến 80 USD. ESET khuyến cáo người dùng đã đăng ký các dịch vụ này nên yêu cầu hủy đăng ký sau khi các ứng dụng bị gỡ bỏ khỏi Google Play Store. Điều đáng chú ý là các ứng dụng này có giao diện đơn giản, không yêu cầu quyền truy cập nhạy cảm và thực tế không có bất kỳ chức năng nào để truy xuất dữ liệu cuộc gọi, SMS hay WhatsApp.
"Người dùng đã đăng ký qua thanh toán Google Play chính thức có thể đủ điều kiện nhận hoàn tiền theo chính sách của Google," ESET cho biết. "Các giao dịch được thực hiện qua ứng dụng thanh toán bên thứ ba hoặc nhập thẻ thanh toán trực tiếp sẽ không được Google hoàn tiền, khiến người dùng phải phụ thuộc vào nhà cung cấp thanh toán bên ngoài hoặc nhà phát triển."
Thông tin này được đưa ra trong bối cảnh Group-IB cảnh báo về một chiến dịch lừa đảo khác tại Indonesia, nơi kẻ xấu đã chiếm đoạt khoảng 2 triệu USD từ người dùng bằng cách giả mạo nền tảng thuế CoreTax và các thương hiệu uy tín khác. Chiến dịch này, bắt đầu từ tháng 7 năm 2025, liên quan đến một nhóm tội phạm tài chính có tên GoldFactory.
Theo Group-IB, chuỗi tấn công này kết hợp các trang web lừa đảo, kỹ thuật xã hội (qua WhatsApp), cài đặt tệp APK độc hại và vishing (gọi điện lừa đảo) để chiếm quyền kiểm soát thiết bị và thực hiện chuyển khoản trái phép. Các ứng dụng giả mạo được phân phối qua WhatsApp, sau khi cài đặt sẽ triển khai mã độc Android như Gigabud RAT, MMRat và Taotie, có khả năng thu thập dữ liệu nhạy cảm và tải thêm các thành phần khác. Thông tin bị đánh cắp sau đó được sử dụng để chiếm đoạt tài khoản và thực hiện hành vi trộm cắp tài chính.
Cơ sở hạ tầng độc hại hỗ trợ chiến dịch lừa đảo này không giới hạn ở một dịch vụ giả mạo duy nhất. Cùng một cơ sở hạ tầng đã được quan sát thấy lạm dụng hơn 16 thương hiệu uy tín, nhắm mục tiêu vào dân số khoảng 287 triệu người của Indonesia.
Nguồn: The Hacker News - https://thehackernews.com/2026/05/fake-call-history-apps-stole-payments.html
